Messagerie - Thunderbird - Chiffrement et signature de messages électroniques

L'entête "From:" d'un message internet n'est pas plus sécurisée que la mention "Expéditeur" en début d'un courrier papier. La signature permet d'authentifier l'auteur du message. Le chiffrement quant à lui assure sa confidentialité.

  1. Démarche générale
  2. Obtention de votre certificat personnel à l'aide votre navigateur Firefox
  3. Installation du certificat dans Thunderbird
  4. Utilisation lors de la composition de messages
  5. Pour Mail de MacOs 10
  6. Renouvellement de certificat

Démarche générale

La démarche décrite ici consiste à :

  • Obtenir un certificat à l'aide votre navigateur Firefox
  • L'installer dans votre client de messagerie Thunderbird
  • Paramétrer Thunderbird pour signer vos message

Obtention de votre certificat personnel à l'aide votre navigateur Firefox

Avant toute chose, vous devez (si ce n'est pas déjà fait) positionner un  "mot de passe principal de sécurité" dans votre navigateur. Il protège vos sessions en cours, votre historique de navigation, les mots de passe sauvegardés, les certificats personnels etc. Faites de même dans Thunderbird (conseil, ne prenez pas votre sesame comme mot de passe, mais vous pouvez utiliser le même dans Firefox et dans Thunderbird). Créer un certificat qui ne serait pas protégé vous expose à la divulgation de messages sensibles qui vous auraient été adressés avec chiffrement ou à ce qu'un tiers certifie (signe) en votre nom des messages dont vous ne seriez pas l'auteur.

master password

1 demander de votre certificat

La personne qui veut un certificat personnel doit être autorisée à consulter le portail PKI de TERENA ; ce serveur sur lequel vous pouvez demander un certificat utilise la fédération d'identité et teste un attribut spécifique positionné par notre fournisseur d'accès.

  • accéder au serveur de la PKI TCS https://www.digicert.com/secure/saml/discovery/ ; (taper "Rennes 1" dans le formulaire "identity provider" pour faire apparaitre notre établissement, sélectionnez le et validez le formulaire avec le bouton "Start single sgn-on".
  • autentifiez-vous si besoin puis vous accédez directement au formulaire "Request a certificate".
  • attention, dans certains cas, lors de l'étape suivante votre navigateur vous présente alors un "popup" pour enroller une nouvelle autorité de certification "On vous a demandé de confirmer une nouvelle autorité de certification (AC)". Fermez ce popup sans cocher aucun des 3 choix présentés.
  • champs du formulaire "Product" : trois types de certificats sont proposés (même si notre établissement ne peut prétendre qu'au certificat "premium" :-( ).

select premium ul>

  • Cliquez sur "Request Certificate"

generate certificate

 

A cette étape, votre certificat est installé dans le magasin de certificat personnel de firefox.

Vous devez en faire une exportation depuis firefox pour l'importer dans Thunderbird ou tout autre client de messagerie conforme à la norme S/MIME.

Selon la version de firefox :

  • Edit > Préférences > Avancé > Chiffrement > Certificats > Vos certificats
  • Outils > Options > Avancé > Chiffrement > Certificats > Vos certificats

Dans votre navigateur, sélectionner alors votre certificat TERENA puis Sauvegarder ou Backup. Cette opération permet de créer un fichier au format "pkcs#12" avec l'extention ".p12" qui contient votre certificat ainsi que la clé privée associée. Il est donc important de chiffrer ce dernier avec une passe phrase solide (un mot de passe que vous ne pouvez oublier et qu'on ne peut deviner ou casser). Nous vous conseillons de choisir le même mot de passe que le mot de passe principal de sécurité de votre navigateur.  Cette sauvegarde de votre certificat est indispensable non seulement pour en disposer et l'installer dans votre outil de messagerie mais aussi parce qu'en cas de perte du certificat, les messages chiffrés que vous pourriez avoir reçus seraient eux aussi perdus.

Installation du certificat dans Thunderbird

Sous Thunderbird selon la version :

  • versions anglaises : Edit > Preferences > Advanced > Certificates > View certificates > Your certificates puis Import
  • versions françaises : Outils > Options > Avancé > Certificats > Voir les certificats > Vos certificats puis Importer

Ecran de sélection du certificat de signature dans Thunderbird

Sélectionner alors le fichier contenant le certificat que vous avez exporté depuis firefox (Thunderbird vous demande la passe phrase que vous avez utilisée pour chiffrer ce fichier de certificat ".p12").

Utilisation lors de la composition de messages

Rédigez un message, dans la fenêtre de composition sélectionner Options puis Signer numeriquement ce message (ou S/MIME puis Digitally sign this message).

Pour ce premier envoi de message signé, Thunderbird vous invite à lancer l'assistant de configuration S/MIME. Dans cet assistant, vous devez indiquer :

  • avec quel certificat vous signez vos messages
  • avec quel certificat vous chiffrez vos messages

Dans notre cas vous utilisez le même certificat pour ces 2 usages. Nous vous conseillons de signer systématiquement vos messages et de les chiffrer à la demande.

Renouvellement de certificat

Un certificat comporte une durée de validité. Lors de son expiration, votre client de messagerie doit vous prévenir. Vous devez alors en installer un nouveau en procédant comme pour une première installation. Ne supprimez pas l'ancien certificat de votre client de messagerie sinon les mes messages que vous auriez reçus avec l'option de chiffrement ne seraient plus lisibles. Pensez alors dans la configuration de votre compte de messagerie,( item "Sécurité" de la configuration de compte dans thunderbird) à sélectionner votre nouveau certificat comme certificat de signature.

Mise à jour : 04/25/2019 - 10:54